Los Web Application Firewall (WAF para los amigos) no son nada nuevo, hay empresas como CloudFlare o CloudBric que dan ese tipo de servicios hace años pero si en este último tiempo se han vuelto muy populares al tiempo que el tráfico en Internet crece.
Básicamente, un WAF lo que hace es analizar el tráfico web (entre el servidor web y la WAN) y protege de diversos ataques como SQL Injection, Cross Site Scripting, Denegación de Servicio, etc.
Particularmente he utilizado un WAF para segurizar algún sitio web, por ejemplo, sitios de E-Commerce que no se pueden permitir sali de servicio porque tal cosa representa una caída en las ventas y credibilidad de la marca. Imagínense que un retail como BestBuy tenga un DDoS en un CyberMonday podría perjudicarlos… y mucho. Lo mismo acá en el país cuando se hacen estas acciones de Marketing entre las cámaras de comercio y los retails.
Los casos de SQL Injection que terminan en robo de información de, también sitios de comercio electrónico o de registro de usuarios. Son casos, tal vez, extremos pero se dan cada vez más a menudo, ya que las herramientas están súper accesibles. Básicamente un chico de 16 años puede tirarte un sitio web y dejar caer tu operación. ¿Cómo te previenes de una cosa así? con un WAF.
Ahora bien. Cómo más o menos funciona y cómo se “come” un WAF? Si lo simplificamos de alguna manera, básicamente lo que hace es diferenciar, gracias a sus tecnologías, muchas de ellas propietarias de cada marca, identificar cuando el pedido de acceso a un sitio web es legitimo y cuando no. Cuando lo es, lo deja pasar y que el usuario consuma el contenido, cuando no, lo rechaza y no deja pasar el request, evitando así, un DDoS u otro tipo de ataque.
El cómo se come, bueno, ahí es donde Azure entra en acción. Desde la nube de Microsoft, podremos correr los siguientes WAF:
Barracuda Web Application Firewall (WAF)
Barracuda tiene un WAF en Azure, que el despliegue se hace en apenas unos minutos y sirve para cargas de trabajo dentro de Azure, en otro proveedor de nube o en uno local de hosting. Esta solución puede comprarse en un esquema de BYOL.
F5 WAF Solution
F5 tiene su appliance virtual, listo para correr en Azure, con respecto al anterior la única diferencia que acusa con respecto a los otros tres mencionados es que solo protege cargas de trabajo en Azure. No creo que sea una limitación del producto, más bien, una estrategia para no pisarse con los negocios. También se puede comprar en un esquema BYOL (Bring Your Own License) que se la podes comprar a tu partner de confianza.
FortiWeb
FortiWeb, cual es mi preferido de esta lista, es capaz de proteger las cargas de trabajo fuera y dentro de Azure. También esta disponible en un esquema de BYOL, es exactamente lo mismo que la solución que viene en la caja física.
El Modelo de FortiWeb en Azure, es único, no hay diferentes modelos u opciones, de esta manera, te aseguras una única experiencia en todos los productos de Fortinet.
Para ir cerrando
Cómo ves, hay opciones para proteger de ataques a tus cargas de trabajo Web, tanto en Azure como en cualquier otra nube o incluso, para el caso de Barracuda y FortiWeb, las cargas que tengas en un esquema On-Premise.
Desde Westcon podemos ayudarte a armar estás soluciones. Las cotizaciones de los equipos en Azure, junto con las licencias, las tenemos disponibles. Listas para darselas a tu partner cuando requieras una solución de este estilo.